我的企業(yè)正在考慮新的安全采購計劃，但我們的預(yù)算有限，而且我們擔(dān)心成為供應(yīng)商炒作的“犧牲品”。對于安全產(chǎn)品采購和供應(yīng)商選擇，我們是否應(yīng)該制定基本準(zhǔn)則?在與預(yù)選的供應(yīng)商交談以及評估供應(yīng)商之前，信息安全官應(yīng)該提出什么問題，我們應(yīng)該避免哪些常見的陷阱?

[[157659]]

Mike O. Villegas：***信息安全官(CISO)每天都被供應(yīng)商輪番轟炸，這些供應(yīng)商都聲稱他們的產(chǎn)品可以解決所有問題。另外有些供應(yīng)商則很冷淡，即使他們的產(chǎn)品很優(yōu)秀，CISO可能都不會再想見他們。這里的挑戰(zhàn)在于買什么以及從誰那里購買。

在你知道你需要的產(chǎn)品(SIEM、FIM、NGFW、WAF、防病毒、反惡意軟件、DLP等等)后，你可以通過選擇供應(yīng)商來開始供應(yīng)商管理流程。

確定供應(yīng)商：企業(yè)在尋找潛在的供應(yīng)商時，可考慮Gartner魔力象限或Forrester Wave作為可靠的信息來源。在你感興趣的領(lǐng)域有哪些供應(yīng)商?看看右上象限內(nèi)的供應(yīng)商，并了解其詳細(xì)信息。不要只挑***的產(chǎn)品，盡管有時候開源可能是正確的選擇。

短名單：挑選少數(shù)具有不錯成績的供應(yīng)商。如果你與其他CISO有聯(lián)系，可以詢問他們的意見。

概念驗證：在供應(yīng)商管理流程中，在確定潛在供應(yīng)商清單后，下一步是打電話給供應(yīng)商，并建立概念證明(POC)。企業(yè)可以查看供應(yīng)商的宣傳冊，并進(jìn)行粗略的背景調(diào)查。另外，安排時間讓供應(yīng)商展示其產(chǎn)品，并邀請主題專家(SME)。POC可能需要花一些錢，因為它需要內(nèi)部資源對產(chǎn)品進(jìn)行測試。請確保你起草了非公開的協(xié)議，并根據(jù)功能、平臺(設(shè)備或軟件)、資源和需要的技能以及成本制定了選擇標(biāo)準(zhǔn)。同時，使用相同的選擇標(biāo)準(zhǔn)來評估所有產(chǎn)品，讓它們處于同一起跑線。

POC不應(yīng)該使用實時數(shù)據(jù)或生產(chǎn)數(shù)據(jù)來測試，但你還是要考慮對你環(huán)境的影響：

• 在POC測試環(huán)境中每秒預(yù)期事件，并估計在生產(chǎn)環(huán)境的情況;

• 日志記錄活動以及它需要多少存儲空間;

• 日志記錄活動是否協(xié)調(diào)或者不一致，以及這對生產(chǎn)延遲性的影響;

• 如果數(shù)據(jù)包在目標(biāo)設(shè)備需要代理，確定代理的足跡、對生產(chǎn)的延遲性、性能或可訪問性問題;

• 如果需要特殊培訓(xùn)、技能或SME資源，你是否需要從外部聘請，或者從供應(yīng)商或其他專業(yè)服務(wù)機(jī)構(gòu)獲得。

聯(lián)系參考客戶：所有供應(yīng)商必須提供參考客戶。選擇與你環(huán)境和行業(yè)類似的參考客戶。向供應(yīng)商要求只有你和參考客戶參與電話會議，供應(yīng)商不參與。確保參考客戶與供應(yīng)商沒有利益沖突。詢問參考客戶尋找供應(yīng)商產(chǎn)品的驅(qū)動力是什么，他們使用其產(chǎn)品的時間?他們還評估了哪些其他產(chǎn)品?POC?為什么他們選擇該供應(yīng)商?他們是否滿意POC工程師?他是否知識淵博且有問必答?他們是否花了很長時間讓該產(chǎn)品在其環(huán)境中運(yùn)行?在他們使用產(chǎn)品時，產(chǎn)品在哪方面沒有達(dá)到他們的預(yù)期?他們是否認(rèn)為價格合理并且值得購買?

成本：成本不應(yīng)該是選擇產(chǎn)品的首要因素。成本是相對的，但所有價格都可以與供應(yīng)商商量。永遠(yuǎn)不要支付標(biāo)簽價格?？纯磾?shù)據(jù)包是否可捆綁同一供應(yīng)商的其他產(chǎn)品，如果可能的話，等到月末、季度末或年末再決定。我們都知道供應(yīng)商有其銷售目標(biāo)，你可以用它來協(xié)商成本，但如果你不打算買的話，不要浪費(fèi)供應(yīng)商的時間。如果各供應(yīng)商之間的成本差別不小，確定功能是否超過了成本。如果成本遠(yuǎn)遠(yuǎn)超出了你的預(yù)算，確定預(yù)期投資回報率是否超過成本。同時，與信息安全、網(wǎng)絡(luò)、IT、開發(fā)團(tuán)隊、審計、風(fēng)險管理和合規(guī)團(tuán)隊共享這些數(shù)據(jù)，看看他們是否可以使用該產(chǎn)品。如果該產(chǎn)品為軟件，考慮下載軟件以節(jié)省稅費(fèi)。

高管認(rèn)可：沒有人喜歡驚喜，包括管理層。在你與供應(yīng)商的談判結(jié)束后，再告訴高管產(chǎn)品的成本。追蹤你的預(yù)算，不要讓供應(yīng)商知道你的預(yù)算。讓高管知道供應(yīng)商管理流程談判，并讓法律團(tuán)隊認(rèn)可該產(chǎn)品，這可以有助于高管對這次購買感到滿意。同時，讓IT認(rèn)同該產(chǎn)品。你還應(yīng)向高管展示你在選擇時進(jìn)行了盡職調(diào)查，并在談判結(jié)束后，展示列表價格和產(chǎn)品實際價格，讓高管看到你的管理工作做得不錯，同時你自己也會被看好。***，你可以換位思考，假設(shè)這是你自己的公司，你在做出購買決定。你會怎么做?

合同談判：讓法律部門的同事幫助你完成合同談判。確保合同包含針對POC和購買的條款，審查許可協(xié)議、維護(hù)成本和續(xù)訂成本。有時候，在花時間進(jìn)行POC后，你與供應(yīng)商的法律部門可能不會達(dá)成一致意見，這可能導(dǎo)致最終交易無法完成。在大多數(shù)情況下，合同談判應(yīng)該是雙方都同意的。確保有終止條款—有原因或沒原因，合同中應(yīng)具有雙方責(zé)任限制條款以及審核權(quán)利條款。如果涉及代碼或軟件，考慮代管條款或不披露條款。

總之，如果雪佛蘭皮卡車就行，那就不要買凱迪拉克。你應(yīng)該選擇正確的產(chǎn)品，而不是***的產(chǎn)品。因為***的產(chǎn)品有時候最昂貴，但并不是基于你的商業(yè)模式、預(yù)算和需求，正確的產(chǎn)品才是你的目標(biāo)。你需要確保所選擇的產(chǎn)品可以根據(jù)公司發(fā)展進(jìn)行擴(kuò)展。另外，基于你的行業(yè)、企業(yè)文化以及人員技能，你可能還有其他考慮因素，但你應(yīng)該購買你所需要的產(chǎn)品，不一定是你想要的產(chǎn)品。